一種多區域聯動機制的研究*

羅淑丹，李 鐳，余興華

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引 言

當今時代，隨著計算機網絡的應用深入到社會的各個角落，網絡系統的安全性和可靠性日益成為網絡用戶關注的焦點[1]。網絡安全是一個綜合的、動態的安全體系，應該是多種安全技術的有機集成和安全產品之間的聯動。因此，不應僅僅限于研究單一的設備或技術手段，而需要從系統全局、從整體和設備聯動的角度解決網絡安全問題，建立一套完整的系統安全防護體系。“安全事件的意義不是局部的，將安全事件及時通告給相關的安全系統，有助于從全局范圍評估安全事件的威脅，并在適當的位置采取動作”，這是網絡安全聯動的理論基礎[2]。

建立一個整體的網絡安全防護體系的關鍵，在于要求各網絡安全設備之間具有較高的協同性，即聯動性。聯動技術體現了智能化網絡安全管理的潮流，能夠有機整合各種網絡安全技術，全部部署網絡安全防御體系，有效提升網絡性能。通過聯動機制連接各功能模塊，可以對各安全設備進行功能協調和實時監控，根據網絡安全狀況實現安全設備的配置和更改，把危害限制在最小范圍，產生“1+1＞2”的合力，避免產生木桶效應[3]。

本文提出了一種跨域協同與全局聯動的多區域聯動體系，可以加強通信網間的信息共享，促使各種安全機制、設備以及系統間形成優勢互補，提升通信網絡的整體防御能力

1 體系研究

1.1 安全自治域

安全自治域是由具備一定安全檢測、防護及其協調機制的設備/系統集合組成的物理網絡，如圖1所示。該網絡擁有統一安全防御策略，能夠獨立實現安全檢測和安全防護。該集合包括若干個受保護主機/系統、檢測器、控制器和一套安全管理中心。集合中的設備/系統均接受安全管理中心的管理。

圖1 安全自治域

1.2 安全區域

安全區域是在同一個管理控制下由一組具有相同安全保護需求并相互信任的安全自治域組成的物理網絡，如圖2所示。在一個安全區域中部署一套或多套區域協同中心，各安全自治域統一遵循區域協同中心的策略。

圖2 安全區域

1.3 邏輯層次

跨域協同與全局聯動機制由設備層、安全管理層和協同中心層三個邏輯層面組成，如圖3所示。

設備層。該層由分布在網絡中的各種安全設備、受保護網絡、主機和系統組成，是聯動協同功能的最終執行者。

安全管理層。該層由安全管理中心（SMC）組成，每個安全自治域內部署一套，直接完成各安全設備/系統的聯動。

協同中心層。該層由處于多區域協同與全局聯動機制上層的協同中心（CC）組成，每個安全區域部署一套或多套，完成安全區域和安全自治域間的協同。

圖3 跨域協同與全局聯動機制邏輯組成

1.4 協同層次

如圖4所示，跨域協同與全局聯動機制分為四個層次——安全自治域內聯動、安全自治域間協同、安全區域間協同和網系協同；完成協同功能需要的協同系統分別為安全管理中心（SMC）、一級區域協同中心、二級區域協同中心和全局協同中心。

圖4 協同層次

安全自治域內聯動處于整個協同聯動機制的最底層，所有的協同和聯動指令最終均在該層次執行。域內聯動負責根據域內安全情況和所屬安全區域的統一策略調整域內安全設備/系統的策略、執行檢測或防護任務。聯動是讓安全自治域中具備安全解決能力的元素協同工作。雖然它們各自分工不同，但勢必能構成團體的優勢。聯動中不可忽視的核心點是要使交換機、路由器、IDS、防火墻、用戶管理系統和網元管理系統等擁有統一的溝通機制。但是，聯動思想僅僅把網絡中局部的安全設備整合起來共同工作，最好的效果也僅僅是維護一個局部的安全體系。對于大規模的網絡攻擊（如蠕蟲病毒攻擊、或DDoS攻擊），攻擊潛伏于網絡的各個角落，再堅固的安全體系也會被受黑客控制的信任主機攻破。為此，不僅要做好安全自治域中的安全措施“聯動”工作，還要更大范圍內實現對入侵的協同，將其對網絡的災難降低到最小。

安全自治域間協同完成協調同一個安全區域內跨安全自治域的協同功能。當一個安全自治域分析安全態勢需要其他安全自治域的信息、消除隱患需要其他安全自治域的協助、檢測到針對其他安全自治域的安全事件時，可通過安全自治域的SMC的管理CC作為聯系紐帶來完成。

安全區域間協同完成協調跨安全區域的協同功能。當一個安全區域分析安全態勢需要其他安全區域的信息、消除隱患需要其他安全自治域的協助、檢測到針對其他安全區域安全事件時，可通過各安全區域CC作為聯系紐帶來完成。

網系協同由通信網頂層的全局協同中心參與完成通信網中不同網絡之間的安全協同。

1.5 域內聯動

聯動是使安全自治域中具備安全解決能力的元素協同工作。域內聯動流程，如圖5所示。

圖5 安全自治域內聯動流程

按照聯動操作的側重點不同，可以分為以下幾類。

（1）記錄安全事件：記錄安全事件，有利于管理員的事后追查。各安全設備將檢測到的安全事件進行記錄，上報至安全管理中心。安全管理中心將其存儲于原始事件數據庫。安全管理中心默認情況自動執行該操作，記錄所有安全事件。

（2）產生告警信息：在安全管理中心產生告警信息，上報至協同中心。對所有融合后的安全事件，將采取該聯動措施。安全管理員可以設置是否告警及告警的方式。安全管理中心對安全設備上報的安全事件進行融合分析，采用系統設置的告警方式通知管理員，以便于管理員對入侵行為和違規行為進行處理。

（3）引誘取證：將入侵行為或非法行為誘導至誘餌設備，消耗其資源并進行取證。該類聯動措施適用于所有的網絡入侵行為。交換機和路由器等設備將入侵和非法數據流引導至偽裝誘騙系統。偽裝誘騙系統收集入侵者或非法操作者的證據。安全管理中心完成數據的分析與設備策略的生成。

（4）阻斷攻擊源或隔離被攻擊對象：這種措施實際上禁止了攻擊者對被攻擊對象的訪問。這種聯動方式可以通過配置控制器策略或終止被攻擊對象的服務等完成。當設備遭到網絡攻擊時、設備遭到病毒或木馬入侵時、設備成為內部攻擊者時、設備訪問非授權內容時，可以采取該類聯動響應措施。

（5）檢測隱患：檢測可能對網絡或主機造成危害的對象。安全管理中心可以實施該種響應措施來檢查管轄設備的系統漏洞、配置漏洞、間諜軟件、后門軟件、病毒程序和文件的完整性等。

（6）清除隱患：清除可能對網絡或主機造成危害的對象，包括系統漏洞、配置漏洞、間諜軟件、后門軟件和病毒程序等。當檢測器檢測到設備上存在安全隱患時，安全管理中心下發這類聯動策略來清除隱患。

（7）調整設備運行策略：根據網絡環境、管轄設備配置情況或區域協同中心統一配置策略，調整安全設備/系統的檢測規則、防護規則和軟件版本等策略。

（8）追蹤攻擊者：找到盡量接近攻擊發起的位置。

（9）反擊攻擊者：主動對入侵者進行反擊。

1.6 域間協同

域間協同包括安全自治域間和安全區域間的協同。協同是指利用現有安全技術、措施和設備，將時間上分離、空間上分布而功能上互為補充的多個安全系統有機組織起來，從而使整個安全體系具有預防、檢測、分析、恢復和對抗等綜合防御功能，使各個安全系統能夠最大程度或近似最大程度地發揮其效能。域間協同的流程圖，如圖6所示。

圖6 安全自治域間協同流程

域間協同按照協同的內容分為以下幾種類型。

全局策略型：由上級或可信第三方提供的統一工作安全策略。

相互學習型：在某一安全管理域內，通過管理員行為學習得到的安全規則，在通過可信驗證后在全網推廣。

協調防御型：對跨安全域的安全事件進行聯合打擊、封堵。

風險預警型：對局部出現的異常現象，可通知臨近域提前防御，防患于未然。

來源追溯型：對出現的攻擊行為進行可能的來源追溯。

1.6.1 全局策略型

全局策略是由上級協同中心向下級協同中心、協同中心向安全管理中心下發的所管轄范圍內的統一安全策略，描述了安全需求目標、安全服務說明和信任管理等內容。這些策略包括檢測策略、控制策略、告警策略、事件分析策略、軟件升級和安全信息通告等。檢測策略指管轄范圍內需要檢測的內容、檢測粒度和設備檢測規則等。控制策略是指對管轄范圍內各種資源實體的統一控制原則。這些對象實體可能是網絡部署、網絡地址、端口協議、應用服務、終端外設與接口、系統文件和信道資源等。告警策略是指告警粒度、告警方式和是否需要通報等。1.6.2 相互學習型

該協同類型是指在某一安全管理域內通過管理員行為學習得到的執行效果較好的安全策略在通過可信驗證后在全網推廣，達到共同提高防御能力的目的。安全管理中心、區域協同中心都有一個安全策略數據庫。各中心生成一條新的安全策略后，系統將對已執行安全策略的執行效果進行評估。對于評估后分值較高的安全策略，安全中心將其放入安全策略共享區，便于其他安全域共享。必要時，可將策略進行全域分發。各域的安全中心通過自己安全策略評估模塊，將分發下來的安全策略與已有的安全策略進行比較，并將評估的最優安全策略更新到安全策略庫中，達到優秀安全策略全網更新的目的，從而共同提高防御能力。

1.6.3 協調防御型

對入侵行為或違規行為進行跨區域的封堵、打擊，可以分為以下幾種情況進行處理。

在理想防御點進行防御。對某個區域檢測到的安全事件，在本域內進行防御可能達不到效果，需要通過鄰域擴散方式在其他域進行封堵，以達到最佳效果。例如，對于域內某臺主機的拒絕服務攻擊，特別是分布式拒絕服務攻擊，僅僅在本域進行阻斷并不能阻止大量數據流量，且消耗邊界控制器的性能，達不到理想的防御效果。這時需要通過鄰域逐步擴散，在入侵數據流量的入口處進行封堵，以消除攻擊路徑上的攻擊流量，達到較好的防御效果。

內部攻擊源截斷。大部分的入侵行為都是內部攻擊，某個區域檢測到的安全事件的源頭可能就在本域或其他安全區域內部。此時，除了在本域對入侵源進行封堵外，還需要通知源頭所屬的安全區域對其進行處理。例如，某域內主機被作為傀儡主機對其他主機進行攻擊時，需要對其進行清除后門、增強其安全性等聯動協同策略。

防御措施求助。對于某域內檢測到的安全事件，域內的安全防護設備可能不具備對該事件的防護能力，需要通過上級協同中心尋求幫助，對安全事件進行處理。例如，針對安全事件需要的補丁、升級包等，可以在其他安全區域下載；本域沒有對安全事件的控制器時，直接在其他安全區域使用控制器控制安全事件源頭。

1.6.4 風險預警型

對局部出現的異常現象，可通知其他區域提前防御，防患于未然。具體地，根據預警的內容可分為兩類進行處理。

入侵預警。在攻擊數據進入網絡協同與聯動體系的檢測范圍還未到達目標時，可能被檢測器檢測到并產生報警。協同中心收到安全管理中心的預警后，通過協同體系直至將預警信息傳遞至目的區域的安全管理中心，然后安全管理中心生成聯動指令提前進行封堵。

擴散預警。在某域內檢測到的安全事件如果屬于易于擴散類型如病毒、蠕蟲等，則需要通過安全協同系統將安全事件及其防御策略進行全網通報。各中心收到預警信息后提前設置防御策略，遏制安全事件的擴散。

1.6.5 來源追溯型

對出現的入侵行為或違規行為進行可能的來源追溯。追溯的重點在于發現攻擊者的真實地址和傳輸路徑，而追蹤技術有助于提高響應的準確性。它的基本思想是以攻擊報文的相關信息為依據，實現對攻擊源的反向追蹤。

現有的來源追蹤技術如鏈路測試、日志記錄、ICMP追蹤和報文標記技術，均需要網絡路由器的參與，以使用其特殊功能。因此，實施比較困難。

多區域協同與聯動框架主要是基于對各安全管理中心、協同中心收集的安全事件的綜合分析。來源追溯分為在線追溯和離線追溯。

在線追溯是指即時尋找事件來源。當某域檢測到一條安全事件時，若需要追溯其來源，則向上級協同中心發布來源追溯策略。策略包含其事件相關信息。協同中心通過協同體系將追溯策略傳播至安全管理中心和協同中心，各中心將檢測到的實時事件與追溯策略中的相關信息進行匹配，直至找到事件源頭（內部估計）或網絡邊界（外部攻擊）。

離線追溯是指事后對安全事件進行分析來尋找事件來源。若某域需要事后追溯某事件來源，則在協同體系中傳播追溯策略。各中心將策略中的事件信息作為分析條件對自己的事件庫進行分析，直至找到事件源頭（內部估計）或網絡邊界（外部攻擊）。

2 結 語

多區域協同與聯動機制是從安全防御體系上考慮通信網絡協調聯動機制，目的是提高其整體防御能力。該機制在安全自治域內、安全自治域間、安全區域間和網系間建立安全協同聯動機制，加強了通信網間的信息共享，促使各種安全機制、設備以及系統間形成優勢互補，提升了通信網的動態防御、協同防御和整體防御能力。